IPtables konfigurieren

IPtables ist ein leistungsfähiges Tool, mit dem Regeln in der Linux® -Kernel-Firewall für das Routing von Datenverkehr erstellt werden.

Informationen zu dieser Task

Um IPtableszu konfigurieren, müssen Sie die vorhandenen Regeln untersuchen, die Regel ändern, um das Ereignis zu protokollieren, und Ihrer IPtables -Regel eine Protokollkennung zuordnen, die durch IBM QRadarangegeben werden kann. Dieser Prozess wird verwendet, um festzustellen, welche Regeln von QRadarprotokolliert werden. QRadar enthält alle protokollierten Ereignisse mit den Wörtern 'accept', 'drop', 'reject' oder 'deny' in den Ereignisnutzdaten.

Vorgehensweise

  1. Melden Sie sich über SSH als Rootbenutzer bei Ihrem Linux -Server an.
  2. Bearbeiten Sie die Datei IPtables im folgenden Verzeichnis:

    /etc/iptables.conf

    Hinweis: Die Datei mit den IPtables -Regeln kann je nach dem Linux -Betriebssystem, das Sie konfigurieren, variieren. Beispiel: Ein System, das Red Hat Enterprise verwendet, hat die Datei im Verzeichnis /etc/sysconfig/iptables . Weitere Informationen zum Konfigurieren von IPtablesfinden Sie in der Dokumentation zum BetriebssystemLinux .
  3. Überprüfen Sie die Datei, um die zu protokollierende Regel IPtables zu bestimmen.

    Wenn Sie beispielsweise die durch den Eintrag definierte Regel protokollieren möchten, verwenden Sie Folgendes:

    -A INPUT -i eth0 --dport 31337 -j DROP

  4. Fügen Sie eine Abgleichsregel direkt vor jeder Regel ein, die Sie protokollieren wollen:

    -A INPUT -i eth0 --dport 31337 -j DROP

    -A INPUT -i eth0 --dport 31337 -j DROP

  5. Aktualisieren Sie das Ziel der neuen Regel für jede Regel, die Sie protokollieren möchten, in LOG. Zum Beispiel:

    -A INPUT -i eth0 --dport 31337 -j LOG

    -A INPUT -i eth0 --dport 31337 -j DROP

  6. Setzen Sie die Protokollebene des LOG-Ziels auf eine SYSLOG-Prioritätsstufe, wie z. B. 'info' oder 'notice':

    -A INPUT -i eth0 --dport 31337 -j LOG --log-level info

    -A INPUT -i eth0 --dport 31337 -j DROP

  7. Konfigurieren Sie ein Protokollpräfix, um das Regelverhalten anzugeben. Setzen Sie den Protokollpräfixparameter auf:

    Q1Target=<rule>

    Dabei ist <Regel> eine der folgenden IPtable-Firewall-Aktionen: fw_accept, fw_drop, fw_rejectoder fw_deny.

    Wenn die von der Firewall protokollierte Regel beispielsweise gelöschte Ereignisse als Ziel hat, lautet die Einstellung für das Protokollpräfix wie folgt:

    Q1Target=fw_drop

    -A INPUT -i eth0 --dport 31337 -j LOG --log-level info --log-prefix "Q1Target=fw_drop " -A INPUT -i eth0 --dport 31337 -j DROP
    Hinweis: Vor dem abschließenden Anführungszeichen muss ein nachfolgendes Leerzeichen stehen.
  8. Speichern Sie und schließen Sie die Datei.
  9. Starten Sie IPtables mit dem folgenden Befehl erneut:

    /etc/init.d/iptables restart

  10. Öffnen Sie die Datei syslog.conf .
  11. Fügen Sie die folgende Zeile hinzu:

    kern.<log level>@<IP address>

    Dabei gilt Folgendes:

    • <Protokollebene> ist die zuvor festgelegte Protokollebene.
    • <IP-Adresse> ist die IP-Adresse von QRadar.
  12. Speichern Sie und schließen Sie die Datei.
  13. Starten Sie den syslog-Dämon mit dem folgenden Befehl neu:

    /etc/init.d/syslog restart

    Nach dem Neustart des syslog-Dämons werden Ereignisse an QRadarweitergeleitet. Von Linux -Servern weitergeleitete IPtable-Ereignisse werden automatisch erkannt und auf der Registerkarte Protokollaktivität von QRadarangezeigt.